官方站務區 /z/sysop

IngramChen 積分 3

cookies 的安全性已經是千錘百鍊,很多洞都測出來了,但也是千瘡百孔。稍有不慎就中獎了。

token 放 header 實做的人少,破的人也少 (因為做法都有點不大一樣),所以理論上相對安全一點,但是網站大到有專人來破解,那也是很危險。

通常要真的安全 server 還是會有 session 供比對吧。

回應
這是文章的子討論串,你可以回到上層查看所有討論和文章

qrtt1 積分 0 編輯於

auth 看起來是放在 HandlerMethodArgumentResolver1 的時候,看起來比加 WebSecurityConfigurerAdapter 簡單多了(上個月也寫了一樣的東西,看網上範例就寫得複雜了些),如果 kaif 早點 open 也許我就會學習使用這樣簡便的設計 :)

1
https://github.com/kaif-open/kaif/blob/master/kaif-web/src/main/java/io/kaif/web/v1/ClientAppUserAccessTokenArgumentResolver.java#L34
回應

IngramChen 積分 0

這不是標準的作法啊。但是 spring security 的作法太麻煩了,所以 oauth integration 最後自己刻比較簡單。

HandlerMethodArgumentResolver 的話,每個需要處理 auth 的 handler method ,就一定要帶 ClientAppUserAccessToken ,忘記寫的話,就是漏洞了。(有些 method 不需要 user,然後就會忘了寫)

為了這個漏洞,有另外寫一個 unit test1 去掃所有 method,看有沒有漏掉這個 argument。

這個是 OAuth API 的部份, web 用的 ajax API 又作了另一套類似的... orz

1
https://github.com/kaif-open/kaif/blob/master/kaif-web/src/test/java/io/kaif/web/v1/ScopeAndAccessTokenSignatureTest.java
回應

qrtt1 積分 0

嗯,我們就是用那個麻煩的做法,不過最終還是需要寫個 HandlerMethodArgumentResolver 讓開發者在需要的時候,自動地取到 user Orz.

回應